Des cri­mi­nels en veulent à votre carte SIM puis à votre compte bancaire

Des hackers volent ou copient des cartes SIM pour accéder aux applis et aux don­nées ban­caires. L’attaque com­mence la plu­part du temps par un mes­sage de phi­shing.

Des cyber­cri­mi­nels ont escroqué 68 mil­lions de dol­lars aux États-Unis grâce à la tech­nique du SIM Swap­ping, c’est-à-dire en détour­nant ou en copiant la carte SIM de leurs vic­times pour arriver aux appli­ca­tions et aux don­nées ban­caires (Source : Heise Secu­rity, 20 Minuten).

On enre­gistre des cas de SIM Swap­ping en Suisse aussi, quoiqu’en nombre rela­ti­ve­ment plus limité. La plu­part du temps, l’attaque inter­vient ini­tia­le­ment via des mes­sages de phi­shing (cour­riels, textos ou mes­sa­gerie ins­tan­tanée) conte­nant un lien vers un site piraté exploité par l’attaquant. Une fois qu'il a atterri sur le site, l’utilisateur ignare est invité à com­mu­ni­quer ses don­nées de télé­phonie mobile et/ou ses iden­ti­fiants d’accès à un ser­vice en ligne ou d’e-banking. Il arrive aussi que ces don­nées soient ache­tées en ligne suite à des fuites de don­nées à grande échelle (p. ex. sur le Darknet).

Dans la mesure où les por­tails d’e-banking et autres ser­vices en ligne uti­lisent de plus en plus sou­vent la pro­cé­dure d’authen­ti­fi­ca­tion à deux ou plu­sieurs fac­teurs, un atta­quant doit être en pos­ses­sion non seule­ment d’un nom d'utilisateur ou numéro de contrat, et d’un mot de passe, mais aussi d’une carte SIM volée ou com­mandée ulté­rieu­re­ment auprès de l’opérateur de télé­phonie mobile pour pou­voir inter­cepter et uti­liser le deuxième fac­teur de sécu­rité. Les don­nées et cartes SIM volées ou pro­cu­rées de tout autre manière que ce soit sont ensuite uti­li­sées par les cri­mi­nels pour accéder illé­ga­le­ment au por­tail d’e-banking ou au ser­vice en ligne visé.

Pour vous protéger,

• ne cli­quez jamais sur un lien reçu par email, SMS ou Mes­senger, ou que vous auriez obtenu après avoir scanné un code QR, pour vous connecter sur le site d'un ins­titut ban­caire ou plus géné­ra­le­ment à un ser­vice en ligne.
• ne rem­plissez jamais de for­mu­laires envoyés par cour­riel et dans les­quels on vous demande d'indiquer vos iden­ti­fiants de connexion.
• soyez méfiant à l’égard des pièces jointes de vos cour­riels et SMS.
• ne révélez aucune infor­ma­tion confi­den­tielle au télé­phone (p. ex. vos mots de passe).
• tapez tou­jours manuel­le­ment l’adresse de la page d’accueil du site du four­nis­seur de ser­vices ou de la banque dans la barre d’adresse de votre navi­ga­teur.
• lorsque la page d’accueil s’affiche, véri­fiez la connexion SSL (https:// et sym­bole du cadenas) et contrôlez l’adresse Internet dans la barre d’adresse du navi­ga­teur pour vous assurer que vous êtes bien sur le bon site.
• ne perdez pas de vue votre appa­reil mobile et faites blo­quer immé­dia­te­ment le télé­phone et la carte SIM en cas de perte ou de vol.
• en cas de doute, contactez tou­jours direc­te­ment votre ins­titut financier.